Was ein guter CISO dieses Jahr braucht – und darüber hinaus.
Cybersicherheit ist eine wesentliche Komponente, die im Rahmen des Risiko-Managements berücksichtigt werden muss. In ihrem aktuellen Risiko-Barometer zeigt die Allianz- Versicherung den drastischen Anstieg der IT-Security-Bedrohungen über die letzten Jahre auf. Sie führen die Rangliste der untersuchten Risiken an; darunter Konjungtur-Schwankungen, Umwelt-Risiken, uvm.
Moderne Cyber-Bedrohungen sind facettenreich; egal, ob es sich um gezielte Attacken auf Unternehmen handelt oder wahllose, aber flächendeckende Angriffe. Auch die Ziele der Angreifer sind mannigfaltig, z.B. Destabilisierung des Unternehmens durch finanziell-orientierte Cyberkriminalität; Reputationsschädigung, Wirtschaftsspionage oder Sabotage durch Cybercrime-Aktivitäten.
In diesem Ökosystem spielt der CISO als IT-Sicherheitsverantwortlicher eine entscheidende Rolle. Er muss zahlreiche technologische, menschliche und regulatorische Perspektiven berücksichtigen, die sich zunehmend weiterentwickeln. Kann sich ein CISO bei der Risikobewertung und -verwaltung immer noch auf die Indikatoren von früher verlassen? Oder ist im Rahmen seiner Rolle und dem zunehmenden Anstieg raffinierter Cyber-Bedrohung ein Umdenken gefordert?
Der CISO: Das personifizierte Cyber-Risikomanagement
Die Bedeutung von IT-Sicherheit in Organisationen hat sich im Verlauf der Jahre stark verändert – und auch der Umgang. Die Perspektive unterscheidet sich stark von einer „Perimeter-Haltung“, bei der es vor allem darum ging, ein bestimmtes Asset zu schützen und eine Sicherheits-“Mauer” darum herumzubauen, damit man es nicht angreifen kann. Mittlerweile ist die Cybersicherheit Teil eines integrierten Sicherheitsprozesses und eines pro-aktiven Ansatzes, wie die vielschichtige Rolle des CISO zeigt.
Weit über den Begriff des ‚Chief Information Security Officer‘ hinaus, der dieser Funktion einen primär technischen Aspekt verleiht, hat der CISO eine breit gefächerte, übergreifende Rolle, die gleichzeitig operativ, rechtlich, technisch, organisatorisch und strategisch ist. Er agiert als Berater, politischer Entscheidungsträger, aber auch als Akteur des Wandels innerhalb der Organisation. Oft agiert er in leitender Position, um die Effizienz der durchgeführten Projekte zu optimieren – stets im Spannungsfeld zwischen Cyber-Risiko und Resilienz.
Indem er sich durch die verschiedenen Abteilungen des Unternehmens oder der Verwaltung (Vertrieb, Marketing, Kommunikation, Technik, Wartung, Management usw.) bewegt, ist der CISO in der Lage, die technischen Fragen auf jeden Organisationsbereich zu übertragen. So kann er gewährleisten, dass jeder Akteur/Mitarbeiter für die Cyberrisiken sensibilisiert wird, sich dieser bewusst wird und somit Zugang zu relevanten Informationen darüber erhält. Der CISO ist somit in der Lage, für Effizienz und ein kontinuierlich hohes, aktiv gelebtes Schutz-Niveau zu sorgen und eine (pro-)aktive Verteidigung in der Tiefe zu installieren. – Menschlich und technologisch.
Ein CISO ist also auch ein Stratege, denn er kann im Rahmen der Cyber-Strategie eine überzeugende und motivierende Vision vermitteln, an der sich jeder im Unternehmen orientieren kann. Ein CISO muss die aktuellen Themen im Zusammenhang mit dem Cyber-Ökosystem beherrschen, aber auch die verschiedenen Entwicklungen aktueller und neuer Technologien.
Der CISO spielt also eine wesentliche und immer wichtiger werdende Rolle im Unternehmen. Der aktuelle Gartner-Bericht besagt sogar, dass 40 % der Verwaltungsräte bis 2025 einen Ausschuss für Cybersicherheit haben werden – oder, dass mindestens eines der Mitglieder für die Überwachung der Cyberaktivitäten zuständig sein wird; was beweist, dass die Cybersicherheit und die Funktion des CISO tatsächlich im Mittelpunkt der strategischen Aktivitäten in Unternehmen stehen.
Rolle, Aufgaben & Indikatoren
Um seiner Rolle gerecht zu werden, greift der CISO auf verschiedene Instrumente zurück und orientiert sich dabei an der Norm ISO 27000. Sie ist ein bewährtes Nachschlagewerk für CISOs, da sie die zentralen Anforderungen für die Umsetzung eines relevanten Informationssicherheitsmanagementsystems (ISMS) definiert.
Diese breit gefächerte und immer bedeutender werdende Rolle des CISO impliziert jedoch die Berücksichtigung ständig neuer Anforderungen, wie Referenzmodellen wie das NIST zeigen, das Best Practices für CISOs aufzeigt. Natürlich können CISOs auf eine große Auswahl an Technologien zurückgreifen, die seine Bedürfnisse im Rahmen seiner Verantwortlichkeiten erfüllen. Aber er muss immer mehr auf bestimmte Kern-Elemente und den Faktor Mensch achten, der bei jedem Schritt des IT-Sicherheitsprozesses eine zentrale Rolle spielt.
1. Cyber-Risiken zuverlässig identifizieren
Die Risiko-Identifikation bzw. -Einschätzung ist der erste Schritt, den ein CISO unternimmt. Denn nur wenn er das Risiko genau kennt, kann er seine Strategie optimal anpassen. Er muss aber auch alle ihm zur Verfügung stehenden Ressourcen kennen, um bei einem (potenziellen) Angriff auf das IT-System effizient (re-)agieren zu können.
Das Wissen über die Unternehmensarchitektur, die Ressourcen und die spezifischen Risiken ermöglicht es dem CISO, die Sicherheit seiner Systeme bzw. seiner Organisation effektiv zu managen, indem er seine Aktivitäten den jeweiligen Bedürfnissen entsprechend priorisiert – ¬im Rahmen seiner ursprünglichen Strategie.
Tatsächlich verfügt jedes Unternehmen über unterschiedliche Ressourcen, deren jeweilige Bedeutung von unterschiedlichen Bedingungen abhängt und von Unternehmen zu Unternehmen total unterschiedlich sein kann. Damit das Asset Management strategisch sinnvoll funktionieren kann, muss es an die eingesetzten Geräte, Applikationen, Kommunikationsmittel, Datenflüsse und personellen Ressourcen angepasst werden. Die detailgetreue Abbildung des Unternehmenskosmos inklusive seiner Partner und der Lieferkette ist also als wesentlicher Bestandteil dieses gesamten Risiko-Identifikationsprozesses anzusehen.
Nach der Risiko-Identifizierung in Abhängigkeit der eingesetzten Technologien kann der CISO es qualifizieren und quantitativ bewerten, um anschließend passende Schutzmaßnahmen zu implementieren.
2. Umfassenden IT-Schutz bieten
Die Schutz-Funktion ist das Herzstück der Arbeit des CISO. Wenn die Organisationsarchitektur vollständig abgebildet ist und vom CISO verinnerlicht ist, besteht seine Aufgabe darin, geeignete Schutzmaßnahmen zu entwickeln und zu implementieren – um in erster Linie die Bereitstellung der wesentlichen kritischen Prozesse und Leistungen der Organisation zu gewährleisten. Ein CISO muss sich darüber im Klaren sein, dass er nicht jeden Angriff verhindern kann. Das Ziel ist, die Auswirkungen eines möglichen Cybersecurity-Events einzudämmen, folglich die Verbreitung zu begrenzen und die Widerstandsfähigkeit (Cyberresilienz) zu fördern.
Um den Schutz der Informationssysteme zu gewährleisten, kann der CISO technische Prozesse einführen, die sich auf Identitätsmanagement, Zugangskontrolle, Datensicherheit und Backups konzentrieren, oder er kann Prozesse zum Schutz von Informationen und Technologien einführen und sich dabei auf bestimmte, sorgfältig ausgewählte Schutztechnologien stützen. Doch damit ist der Arbeit nicht genug! Denn sie geht über den einfachen Einsatz von technischen Mitteln weit hinaus. Wirtksamer Schutz entsteht vor allem durch den Faktor Mensch, der nach wie vor eine der Hauptursachen für Sicherheitsvorfälle ist.
Dem CISO kommt daher die grundlegende Rolle bei der Sensibilisierung und Schulung der Mitarbeiter zu. Ohne die Berücksichtigung der „Human Firewall“ funktioniert IT-Sicherheit nicht.
3. Cyber-Bedrohungen frühzeitig erkennen
Threat Detection ist ein kontinuierlicher Prozess, der die Sicherheit des IT-Systems dauerhaft gewährleistet. Dazu muss der CISO geeignete Mittel und Maßnahmen ergreifen, um das Auftreten von Cyber-Sicherheitsvorfällen so schnell wie möglich zu erkennen. Der Faktor Zeit ist bei der Aufarbeitung einer Cyber-Attacke von wichtiger Bedeutung: Je früher ein Vorfall erkannt wird, desto wirksamer kann reagiert werden.
Ein CISO sollte daher seine Aufmerksamkeit auf Anomalien oder verdächtiges Verhalten richten, die von seinen Threat Detection Tools erkannt werden. Ideal ist, wenn sich der verantwortliche CISO auf präzise arbeitende Lösungen verlassen kann, die die kontinuierliche Überwachung der Netzsicherheit ermöglichen, indem sie alle Arten von Bedrohungen erkennen – von den klassischsten bis hin zu den innovativsten im Umlauf.
Daher muss ein umfassender Detection-Prozess definiert werden, mit der sich die eigentliche Bedrohungserkennung so weit wie möglich systematisieren und automatisieren lässt wie z.B. Network Detection and Response (NDR). Im Zusammenhang mit der Identifikation gezielter APT stellt dieses Tool, das diese Aufgaben zur Erkennung im Netzwerk KI-gestützt und mithilfe von Machine Learning ausführt, einen echten Fortschritt dar.
4. Krisen-Management
Angesichts der zunehmenden Angriffe auf alle Wirtschaftssektoren wird ein CISO mit großer Wahrscheinlichkeit irgendwann selbst mit einem Cybersecurity-Ereignis konfrontiert. Wenn die vorangegangen Prozess-Schritte Identifikation, Schutz-Gewährleistung und Aufdeckung ordnungsgemäß durchgeführt werden, sind die Auswirkungen eines Cyberangriffs wahrscheinlich geringer. Antizipation ist der Schlüssel zur Gewährleistung einer angemessenen Reaktion im Krisenfall. Denn ein Cyber-Event lässt sich nicht vorhersagen. Es geht nicht darum zu wissen, wann, sondern wie alle Beteiligten im Ernstfall reagieren müssen.
Der CISO spielt auch eine Schlüsselrolle beim Krisenmanagement. Er ist verantwortlich für die Schulung und Sensibilisierung aller Mitarbeiter für Cyber-Risiken und die Strukturierung der Entscheidungskette in diesem speziellen Fall (Governance) und beteiligt sich an der Umsetzung der Krisenmanagement-Taktik im Falle eines IT-Sicherheitsvorfalls. Und er beteiligt sich an der Wiederherstellung und Wiederaufnahme der Geschäftstätigkeit des Unternehmens im Anschluss daran.
Der CISO ist nicht nur im Falle einer Krise präsent. Er ist – hinsichtlich der Sicherheit – der Fels in der Brandung. Er steht in jeder Phase für Cybersicherheit: im Alltag durch Analyse-, Wartungs- und Präventionsmaßnahmen, während einer Krise durch Krisenmanagement-Maßnahmen und nach einer Krise durch Wiederherstellungs- und Wiedereinführungsmaßnahmen.
Weit über die einfache Behebung von Schwachstellen hinaus – wie in den 1990er Jahren üblich – hat der CISO heute eine gänzlich neue Rolle eingenommen: Er muss mehr und mehr technische und menschliche Hilfsmittel in Betracht ziehen, wobei Identifizierung, Schutz und Aufdeckung im Mittelpunkt stehen. Die Diversifizierung seiner Rolle wird sich in den kommenden Jahren aufgrund der Entwicklung des Cyber-Ökosystems und der Bedrohungen tendenziell weiter fortsetzen. Der CISO muss beispielsweise die wachsenden Umweltbedenken und die europäische bzw. internationalen Vorschriften und Gesetze im Auge behalten. Kurzum, auf CISOs warten viele, spannende Themen, die nie langweilig werden!
Fazit:
Fazit: Der CISO macht die Cybersicherheit zu einem echten Gewinn für die Organisation und trägt durch seine langfristige Arbeit zu ihrer ständigen Verbesserung bei. Diese Arbeit unterliegt jedoch immer noch großen Einschränkungen, insbesondere in Bezug auf Budget und Autonomie – auch wenn sich in bestimmten Sektoren, die sich der Problematik im Bereich IT-Sicherheit durchaus bewusst sind, gerade ein Wandel vollzieht.
Autor: Benoit Triolo – CISO, GATEWATCHER
Cybersecurity Tools & Software
Effiziente Lösungen für Unternehmen
Möchten Sie mehr erfahren? Setzen Sie sich mit den GATEWATCHER Cybersecurity-Spezialisten in Verbindung.
Wir freuen uns auf Sie!
Ihre Ansprechpartner
Gerald Hahn, Country Manager DACH & CEE
Stefanie Wittig, Territory Manager
Achim Kraus, Technical Solution Artist